El 91% de todos los ciberataques comienzan con un correo electrónico de phishing y las técnicas de phishing están involucradas en el 32% de todas las violaciones de datos exitosas, según estimaciones de Deloitte.
Para ofrecer más información sobre esta ciberamenaza, Kaspersky ha analizado los datos recopilados por su simulador de phishing a partir de la información proporcionada voluntariamente por sus usuarios. Tal y como explica la compañía de ciberseguridad en un comunicado, este simulador, que está integrado en Kaspersky Security Awareness Platform, ayuda a las empresas a verificar si su personal puede distinguir un correo electrónico de phishing de uno real sin poner en riesgo los datos corporativos.
Para ello, un administrador elige del conjunto de plantillas, que imitan escenarios comunes de phishing, o crea su propia plantilla personalizada para después enviársela a sus empleados sin advertirles previamente y realizar un seguimiento de los resultados.
"Una gran cantidad de usuarios que hacen clic en el enlace, lo que es una clara indicación de que se requiere capacitación adicional en concienciación sobre ciberseguridad", advierte Kaspersky.
Según las campañas recientes de simulación de phishing analizadas, la firma de ciberseguridad revela que los cinco tipos de correo electrónico de phishing más efectivos para los ciberdelincuentes son:
- Asunto: Intento de entrega fallido: lamentablemente, nuestro mensajero no pudo entregar su artículo. Remitente: Servicio de entrega de correo. Conversión de clics: 18,5%.
- Asunto: Correos electrónicos no entregados debido a servidores de correo sobrecargados. Remitente: El equipo de soporte de Google. Conversión de clics: 18%.
- Asunto: Encuesta online a empleados: ¿Qué mejorarías de trabajar en la empresa? Remitente: Departamento de RRHH. Conversión de clics: 18%.
- Asunto: Recordatorio: Nuevo código de vestimenta en toda la empresa. Remitente: Recursos Humanos. Conversión de clics: 17,5%.
- Asunto: Atención a todos los empleados: nuevo plan de evacuación del edificio. Remitente: Departamento de Seguridad. Conversión de clics: 16%.
Además de estos correos electrónicos, Kaspersky apunta que existen otros e-mails de phishing que también obtuvieron una cantidad significativa de clics. Entre ellos señala las confirmaciones de reserva de un servicio de reservas (11%), una notificación sobre la realización de un pedido (11%) y un anuncio de concurso de IKEA (10%).
Por otro lado, indica que los correos electrónicos que amenazan al destinatario u ofrecen beneficios instantáneos parecen ser menos "exitosos". En este caso pone dos ejemplos: una plantilla con el tema "Hackeé su ordenador y conozco su historial de búsqueda" que solo obtuvo el 2% de los clics, y las ofertas de Netflix gratis y $1.000 al hacer clic en un enlace que únicamente engañaron al 1% de los empleados.
"La simulación de phishing es una de las formas más sencillas de rastrear la ciberesiliencia de los empleados y evaluar la eficiencia de su capacitación en ciberseguridad. Sin embargo, hay aspectos importantes que deben tenerse en cuenta al realizar esta evaluación para que sea realmente impactante", ha declarado Alfonso Ramírez, director general de Kaspersky Iberia.
"Dado que los métodos utilizados por los ciberdelincuentes cambian constantemente, la simulación debe reflejar las tendencias de ingeniería social actualizadas, junto con los escenarios comunes de ciberdelincuencia. Es crucial que los ataques simulados se lleven a cabo regularmente y se complementen con la capacitación adecuada, de modo que los usuarios desarrollen una fuerte habilidad de vigilancia que les permita evitar caer en ataques dirigidos o el llamado phishing de lanza", ha agregado Ramírez.
Consejos para evitar sufrir un ataque de phishing
Para evitar filtraciones de datos y cualquier pérdida financiera y de reputación causada por ataques de phishing, Kaspersky ofrece a las empresas las siguientes recomendaciones:
- Recordar a los empleados las señales básicas de los correos electrónicos de phishing. Por ejemplo, asuntos dramáticos, errores y faltas de ortografía, direcciones de remitentes sin sentido y enlaces sospechosos.
- Si se tiene alguna duda sobre el correo electrónico recibido, verificar el formato de los archivos adjuntos antes de abrirlos y la precisión del enlace antes de hacer clic. Esto se puede lograr pasando el cursor sobre estos elementos y hay que asegurarse de que la dirección parezca auténtica y los archivos adjuntos no estén en un formato ejecutable.
- Denunciar siempre los ataques de phishing. Si se detecta un ataque de phishing, se debe informar al departamento de seguridad de TI y, si es posible, evitar abrir el correo electrónico malicioso. Esto permitirá que el equipo de ciberseguridad reconfigure las políticas antispam y prevenga un incidente.
- Proporcionar a los empleados conocimientos básicos de ciberseguridad. La educación debe tener como objetivo cambiar su comportamiento y enseñarles cómo hacer frente a las amenazas.
- Dado que los intentos de phishing pueden ser confusos y no hay garantía de evitar todos los clics accidentales, Kaspersky aconseja proteger los dispositivos de trabajo con soluciones que incluyan capacidades antispam. Asimismo, recomienda rastrear comportamientos sospechosos y crear una copia de respaldo de los archivos en caso de ataques de ransomware.